Jednym z podstawowych praw osób, których dane dotyczą ( dalej podmiot danych) na gruncie Rozporządzenia RODO1 jest prawo do wiedzy o tym jak są przetwarzane nasze dane osobowe. W efekcie końcowym rodzi to obowiązek po stronie administratora danych osobowych do wykonania konkretnych działań mających na celu zgodne z Rozporządzeniem RODO poinformowanie o tym, w jaki sposób dany podmiot przetwarza dane osobowe.
Dlaczego spełnienie obowiązku informacyjnego jest tak ważne? Bez wątpienia jedną z odpowiedzi na to pytanie jest rozstrzygniecie w zakresie pierwszej „milionowej” kary dla spółki, która nie dopełniła tego obowiązku.
Pierwsza „milionowa” kara, a obowiązek informacyjny
15 marca 2019 r. Prezes Urzędu Ochrony Danych Osobowych (dalej PUODO) wydał pierwszą decyzję od momentu obowiązywania Rozporządzenia RODO, która dotyczyła niedopełnienie obowiązku informacyjnego. Jak podkreślił Prezes UODO w swojej decyzji spółka Bisnode Polska:
„Spółka posiada łącznie 7.594.636 rekordów danych dotyczących osób fizycznych, w tym przedsiębiorców prowadzących jednoosobową działalność gospodarczą oraz osób będących wspólnikami lub członkami organów spółek, fundacji i stowarzyszeń. Spółka spełniła indywidualny obowiązek informacyjny wobec 682 439 osób, w stosunku do których posiada w ramach rekordu bazy danych adresy poczty elektronicznej. W odniesieniu do 181 142 osób Spółka dysponuje wyłącznie numerami telefonów komórkowych, a w odniesieniu do 6.490.226 osób dysponuje wyłącznie adresami korespondencyjnymi, z czego 2.924.443 rekordy dotyczą nieaktywnych działalności gospodarczych.” (Decyzja PUODO)
W swoim uzasadnieniu spółka powołała się na przepisy, wg. których zrealizowanie obowiązku informacyjnego wiązałoby się dla nich z niewspółmiernymi kosztami. Jak wynika z przytoczonej decyzji: „Z wyjaśnień Spółki wynika także, że gdyby miała wykonać obowiązek informacyjny ustanowiony w art. 14 ust. 1 – 2 rozporządzenia 2016/679, indywidualnie wobec wszystkich osób fizycznych, których dane są przedmiotem postępowania, z wykorzystaniem poczty tradycyjnej, to koszt takiej operacji wyniósłby ponad 33.749.175,00 złotych (kwota uzyskana z przemnożenia liczby podmiotów danych, do których nie została wysłana klauzula informacyjna drogą korespondencji elektronicznej, przez koszt nadania za pośrednictwem Poczty Polskiej listu poleconego w wariancie ekonomicznym, bez dodatkowych kosztów administracyjnych), co stanowi […] obrotu Spółki z roku 2018.”
Wyrok Wojewódzkiego Sądu Administracyjnego w sprawie pierwszej „milionowej” kary – jakie możemy wyciągnąć wnioski ?
Ostatecznie sprawa zakończyła się w Wojewódzkim Sądzie Administracyjnym, który w swoim uzasadnieniu podkreślił m.in.:
- obowiązek informacyjny należy spełnić wobec osób, które aktualnie prowadzą działalność gospodarczą oraz tych, które ją zawiesiły,
- to, że informacje udostępnione przez CEIDG są jawne oraz każdy ma prawo dostępu do nich, nie jest równoznaczne z możliwością dobrowolnego ich przetwarzania przez inne podmioty
- obowiązek informacyjny należy także spełnić wobec osób, których dane zostały pozyskane przed dniem 25 maja 2018 r., czyli przed dniem, kiedy RODO zaczęło być stosowane,
Kiedy administrator danych osobowych ma obowiązek poinformowania podmiotu danych, o tym, iż przetwarza jej dane osobowe ?
Zgodnie z Rozporządzeniem RODO mamy cztery podstawowe sytuacje, w których należy dopełnić obowiązek informacyjny, mianowicie:
- kiedy zbieramy dane osobowe bezpośrednio od osoby, której dane dotyczą – art. 13 Rozporządzenia RODO,
- kiedy zbieramy dane osobowe o konkretnej osobie, ale pozyskamy je z innych źródeł – art. 14 Rozporządzenia RODO,
- kiedy zmieniamy cel przetwarzania danych osobowych albo dodając nowy cel, w jakim pozyskane dane będą przetwarzane – art. 13 ust. 3 i art. 14 ust. 4 Rozporządzenia RODO,
- realizując prawo dostępu do danych zgodnie z art. 15 Rozporządzenia RODO.
Jak zrealizować obowiązek informacyjny?
Realizacja omawianego obowiązku powinna zawierać wszelkie informacje, które wynikają wprost z Rozporządzenia RODO. Jak podkreśliła Grupa Robocza art. 29 (obecnie Europejska Rada Ochrony Danych) ważna jest nie tylko treść informacji o przetwarzaniu danych, ale także forma i sposób spełnienia tego obowiązku.
W praktyce możemy spotkać się m.in. z takimi określeniami jak Klauzula informacyjna, Obowiązek informacyjny, Polityka prywatności, Zasady przetwarzania danych osobowych, Informacja o rzetelnym przetwarzaniu.
Dobrą praktyką w zakresie spełniania obowiązku informacyjnego jest:
- umieszczanie informacji o przetwarzania danych osobowych na stronie internetowej administratora, podmiotu przetwarzającego,
- umieszczenie klauzuli w stopce maila z odniesieniem do naszej strony internetowej,
- ujmowanie zapisów o zasadach przetwarzania danych osobowych np. w umowach, ofertach, na fakturze,
- wysyłanie informacji o zasadach przetwarzania danych poprzez e-mail albo SMS,
- wysłanie informacji pocztą tradycyjną,
Przejrzyste informowanie o zasadach przetwarzania danych osobowych
Każdy podmiot, który spełnia obowiązek informacyjny musi pamiętać, aby zgodnie z art. 12 Rozporządzenia RODO wybrał takie środki „aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności, gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15-22 i 34 w sprawie przetwarzania”.
Jak podkreślono w wytycznych w sprawie przejrzystości na podstawie Rozporządzenia RODO – Grupa Robocza art. 29:
Art. 13 Rozporządzenia RODO znajdzie zastosowanie m.in. w następujących sytuacjach:
- osoba, której dane dotyczą, samodzielnie przekazuje administratorowi dane osobowe (np. wypełniając formularz internetowy),
- administrator samodzielnie pozyskuje dane od osoby, której one dotyczą, w drodze obserwacji (np. przy zastosowaniu automatycznych rejestratorów, takich jak kamery czy urządzenia sieciowe).
Art. 14 Rozporządzenia RODO znajdzie zastosowanie, dla danych osobowych, które administrator pozyskał m.in. z takich źródeł jak:
- zewnętrzni administratorzy danych;
- źródła dostępne publicznie;
- pośrednicy danych; lub
- inne osoby, których dane dotyczą
Kiedy należy spełnić obowiązek informacyjny?
Przekazanie informacji o zasadach przetwarzania danych osobowych w odpowiednim czasie, jest istotnym elementem, który wpływa na właściwe wywiązanie się z tego obowiązku. Od sposobu pozyskania danych osobowych – pośrednio czy bezpośrednio zależy termin spełnienia obowiązku informacyjnego.
I tak, jeżeli dane pozyskujemy bezpośrednio, to informacje wykazane w art. 13 Rozporządzanie RODO muszą być przekazane „podczas pozyskiwania danych osobowych”.
Natomiast jeżeli dane osobowe, pozyskamy pośrednio to nasz obowiązek informacyjny musimy spełnić zgodnie z terminami wykazanymi w art. 14 Rozporządzenia RODO, mianowicie:
- w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych,
- jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą,
- jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
Podsumowanie:
- Nie spełnienie obowiązku informacyjnego może narazić nas nie tylko na karę pieniężną, ale także dopełnienie tego obowiązku (o czym przekonała się spółka Bisnode Polska).
- Obowiązek informacyjny musi spełniać szereg wymogów formalnych, opisanych w Rozporządzeniu RODO.
- Administrator powinien w pierwszej kolejności określić jakie dane osobowe przetwarza oraz w jaki sposób je pozyskał.
- Przygotować poprawną klauzulę informacyjną o zasadach przetwarzania danych osobowych oraz zastosować ją w praktyce.
1Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej Rozporządzenie RODO
Autor:
Anna Ozga – Specjalista ds. bezpieczeństwa danych osobowych, Informatyk. W spółce OZGA GROUP odpowiada m.in. za kompleksowe wdrażanie RODO, przygotowywanie dokumentacji zgodnej ze standardami ISO, wspieranie przedsiębiorców w zakresie zabezpieczania danych w firmie.